Hashes werden für Passwörter verwenden, um sie möglichst sicher speichern zu können. Mit dem Lauf der Zeit haben sich einige Verfahren als unsicher herausgestellt. Django wird in der nächsten Version deshalb die Unterstützung von MD5 und SHA1 entfernen. Auf ubuntuusers.de betrifft diese Änderung vor allem sehr alte Accounts, bei denen sich seit über 10 Jahre niemand angemeldet hat.
Dazu ein kleiner Ausflug in die Geschichte, welche Hashing-Verfahren ubuntuusers.de verwendet bzw. verwendet hat:
MD5 wurde nur zu den Anfangstagen von Inyoka verwendet. Mit MD5 sind schon heute keine Passwörter mehr in der Datenbank auffindbar.
Laut der Versionsverwaltung wurde SHA1 2008 in Inyoka eingeführt.
Ende 2012 wurde PBKDF2 für Passwörter in den Inyoka-Quellcode eingebaut.
Seit Inyoka 0.35.0, das am 4. Mai 2024 erschien, wird Argon2 verwendet.
Alle Nutzer, die sich nach einer der Umstellungen registriert oder zumindest einmal angemeldet haben, wurden automatisch auf das aktuelle Hashing-Verfahren umgestellt.
Mit der nächsten Inyoka-Version werden wir bereits die Möglichkeit nehmen, sich bei Accounts mit SHA1-Hashes anzumelden. Das trifft auf Accounts zu, bei denen sich seit 2015 nicht mehr eingeloggt wurde. Bei den meisten dieser Accounts lag die letzte Anmeldung sogar schon vor 2012. Die entsprechenden SHA1-Passworthashes werden dann aus der Datenbank gelöscht. Bei dem Versuch sich bei den betroffenen Accounts anzumelden, wird eine Fehlermeldung wie bei Eingabe eines falschen Passworts erscheinen. Dadurch muss man die Passwort vergessen-Funktion verwenden – sollte man einen betroffenen Account plötzlich doch wieder verwenden wollen.
Falls die jeweilige E-Mail-Adresse zum Account nicht mehr existiert, muss man sich neu registrieren. Nach dieser langen Zeit sollte das unserer Meinung nach verschmerzbar sein. Viele werden überhaupt nicht mehr wissen, dass sie einen Account haben oder ihr dazugehöriges Passwort vergessen haben.
Update: 14.7¶
Mit Inyoka v0.36.0 sind die genannten Änderungen nun online.